Vulnerabilidad por fallo de API en app de Lloyds expuso transacciones a 447.000 usuarios
La Vulnerabilidad por fallo de API en la app de Lloyds se produjo tras una actualización de software aplicada durante la noche y derivó en la visualización cruzada de datos de transacciones entre clientes de Lloyds Banking Group. La entidad reconoce que el incidente pudo afectar hasta a 447.936 usuarios que, durante una franja de varias horas, llegaron a ver fragmentos de actividad de otras cuentas al consultar el listado de movimientos en la app.
El alcance se conoce por una comunicación remitida al Treasury Committee del Parlamento británico, tras preguntas sobre el fallo registrado el 12 de marzo y que impactó a usuarios de Lloyds, Halifax y Bank of Scotland. Según el banco, el problema quedó acotado a una ventana entre las 03:28 y las 08:08 (hora local indicada en el informe), y estuvo relacionado con una regresión introducida en el componente que sirve datos de transacciones vía API.
Qué ocurrió en la Vulnerabilidad por fallo de API en la app de Lloyds
La entidad atribuye la incidencia a un defecto de software en el API que gestiona la entrega de información de transacciones. En condiciones muy concretas, cuando dos clientes accedían al listado de movimientos prácticamente al mismo tiempo, el sistema podía romper el aislamiento esperado entre sesiones y mostrar fragmentos de la lista de transacciones de otra persona.
Lloyds sostiene que el fallo no permitía mover dinero ni acceder a la operativa completa de otra cuenta. Sin embargo, sí podía exponer datos como importes, fechas y referencias de pago. Además, al abrir el detalle de algunos movimientos, el usuario podía llegar a ver sort code, número de cuenta y textos introducidos como referencia, que potencialmente podrían incluir identificadores personales (por ejemplo, números de identificación, matrículas u otros datos escritos por el pagador).
Usuarios potencialmente expuestos y detalle visible
De una base de 21,5 millones de usuarios de banca móvil, el banco afirma que 1,67 millones iniciaron sesión durante la ventana afectada. Dentro de ese grupo, Lloyds calcula que hasta 447.936 clientes pudieron quedar expuestos a listados ajenos de transacciones y que hasta 114.182 podrían haber visto información más detallada al entrar en movimientos concretos. La exposición fue bidireccional: algunos usuarios vieron transacciones de terceros y otros tuvieron sus datos mostrados temporalmente a desconocidos.
El banco también admite que, en determinados casos, los movimientos visibles podían corresponder a personas que no son clientes de Lloyds Banking Group, si la transacción era un pago hacia una cuenta en otra entidad bancaria.
Respuesta del banco y medidas tras la Vulnerabilidad por fallo de API en la app de Lloyds
Lloyds asegura que, hasta el momento, no tiene constancia de pérdidas financieras derivadas del incidente y califica la exposición como breve. Aun así, solicitó a los clientes que pudieran haber capturado pantallas o anotado información de terceros que eliminen cualquier registro y afirma estar monitorizando posibles usos indebidos.
En paralelo, la entidad ha realizado pagos por “goodwill” por valor de algo más de 139.000 libras a aproximadamente 3.625 clientes, en concepto de molestias y angustia, no como compensación por daño económico. También indica que evaluará reclamaciones adicionales si se acreditan perjuicios financieros.
A nivel regulatorio, Lloyds señala que notificó el incidente a los supervisores la misma mañana y que cursó la notificación formal ante la Information Commissioner’s Office (ICO) dentro del plazo de 72 horas exigido para incidentes de datos personales. Para contexto sobre el rol del regulador de privacidad en Reino Unido puede consultarse la fuente oficial de la ICO.
Causa raíz: concurrencia y aislamiento entre cuentas
La explicación técnica ofrecida por el banco apunta a un fallo en la forma en que el API actualizado gestionaba peticiones simultáneas, lo que rompía el aislamiento entre cuentas cuando dos usuarios invocaban la misma funcionalidad con una diferencia de fracciones de segundo. Lloyds afirma que está revisando cómo el defecto superó sus procesos de diseño, testing y QA, un punto especialmente sensible en banca móvil por el carácter altamente regulado y la criticidad del dato financiero.
El episodio también reabre el debate sobre la resiliencia de las plataformas de banca digital: el valor de la experiencia móvil depende de garantías fuertes de separación lógica (tenant/session isolation), control de concurrencia y validaciones de entrega en capas de API. En entornos financieros, estos fallos se tratan como incidentes de seguridad y privacidad por el riesgo de exposición de datos, aunque no exista capacidad de transacción fraudulenta directa.
Desde el ámbito político, la presidencia del Treasury Committee subrayó la necesidad de transparencia cuando la automatización y la banca desde el móvil fallan, por el impacto directo en la confianza del consumidor y en el uso cotidiano de servicios críticos.
Para más información institucional sobre Lloyds Banking Group y sus comunicaciones corporativas, puede consultarse su web oficial en Lloyds Banking Group. En conclusión, la Vulnerabilidad por fallo de API en la app de Lloyds deja una señal clara para el sector: una regresión en el manejo de concurrencia en APIs puede escalar rápidamente a un incidente masivo de exposición de datos, incluso si la ventana temporal es corta y no hay pérdidas económicas confirmadas.
